为防火墙客户和Web代理客户配置自动发现

出处：Microsoft 作者：作者：Microsoft 时间：2004-9-14 0:56:00

译自微软技术文章：Automatic Discovery for Firewall and Web Proxy Clients

前言：

ISA Server 2004支持防火墙客户和Web代理客户自动发现和定位ISA Server。ISA Server使用Web Proxy Automatic Discovery (WPAD)协议，它允许自动发现Web代理服务器。ISA
Server使用WPAD提供了一种机制，为客户定位一个包含产生Wpad.dat和Wspad.dat的服务器URL的WPAD项。Wpad.dat文件是个java脚本，由IE建立，包含默认的URL模板。Wpad.dat文件用于Web代理客户自动发现信息，ISA Server的WinSock代理自动检测（WSPAD）使用Wpad.dat文件，并且为防火墙客户建立Wspad.dat文件来提供自动发现信息。更多的关于自动发现协议的信息，请参见Web'>http://go.microsoft.com/fwlink/?LinkId=31658">Web
Proxy Auto-Discovery Protocol文档。

概念和步骤

这篇文章中包括
•配置自动发现
•Web代理客户
•防火墙客户
•客户支持
•配置WPAD项
•配置WPAD服务器
•引用

配置自动发现

为客户建立自动发现需要以下步骤：
•配置Web代理客户和防火墙客户使用自动发现；
•建立包含有指向Wpad.dat和Wspad.dat文件的服务器的URL的WPAD项。你可以通过DNS、DHCP或者两者来建立WPAD项。
•配置一个存放WPAD和WSPAD文件的WPAD服务器，URL指向这个WPAD服务器。可以有以下几种配置：

最简单的配置，WPAD服务器就是ISA Server计算机。
或者，WPAD服务器可以使用其他计算机；

•如果ISA Server作为WPAD服务器，那么配置ISA Server通过某个特定的端口发布自动发现信息，并且侦听自动发现请求。

Web代理客户

对于Web代理客户，IE使用WPAD协议来在DNS和DHCP中定位包含有Wpad.dat脚本文件的WPAD项。如果找到，对于Web请求，IE连接到Wpad.dat文件中指定的ISA Server。Web浏览器调用http://wpad:port/wpad.dat，端口是侦听自动发现请求的端口。对于DNS项，你必须侦听在80端口，对于DHCP，你可以侦听任何端口（ISA Server默认是侦听8080端口）。你可以在Web浏览器中输入URL来查看对于特定的客户的代理设置，以及一些配置为自动连接的域名字清单。

在IE中，你可以启用自动发现，或者手动指定一个Web代理服务器。在防火墙客户中，你可以在防火墙客户端对话框中配置Web代理设置。如果自动发现失败，在合理配置默认网关的情况下，Web代理客户将成为SNAT客户。自动发现需要IE5.0及更高版本的支持。

在IE中允许自动发现

在运行IE5.0或者更高版本的Web代理客户计算机上，执行以下步骤：
1.在工具菜单，点击Internet选项；
2.点击连接标签；
3.点击局域网设置；
4.勾选自动检测设置，然后点击两次确定；

在ISA Server 2004防火墙客户计算机上启用Web代理自动发现

执行以下步骤：
1.在ISA Server 2004防火墙客户端对话框的Web浏览器页，勾选允许Web浏览器自动配置；
2.为了应用设置，点击现在配置；

防火墙客户

为了在防火墙客户上实现自动发现，ISA Server使用WPAD协议在DHCP或者DNS上定位WPAD协议。如果防火墙客户允许了自动发现，那么会执行以下步骤：
1.当客户产生WinSock请求，客户连接到DHCP或者DNS服务器；
2.DHCP服务器或者DNS服务器将包含有WPAD服务器的IP地址的WPAD项URL返回给客户。(包含有Wpad.dat和Wspad.dat文件的服务器）
3.客户请求Wspad.dat里面的自动发现信息，调用http://wpad:port/wspad.dat。
4.在Wspad.dat里面提供的ISA Server计算机将被防火墙客户用于WinSock连接。

你可以通过在防火墙客户端对话框里面点击现在检测按钮来测试自动发现，如果失败，在正确配置默认网关的情况下，防火墙客户将会成为SNAT客户。

为ISA Server 2004防火墙客户启用自动发现

执行以下步骤：
1.在ISA Server 2004控制台，点击配置，然后点击网络；
2.在细节面板，点击网络标签；
3.在任务标签，点击编辑选择网络；
4.在防火墙客户标签，勾选自动检测设置；

为ISA Server 2000防火墙客户启用自动发现

执行以下步骤：
1.在ISA Server管理控制台，点击ISA Server计算机，然后点击客户端配置；
2.在细节面板，右击防火墙客户，然后点击属性；
3.在常规面板，勾选启用防火墙客户的自动发现；

客户支持

下表汇总了在各种操作系统下对于防火墙客户和Web代理客户自动发现的支持，例如Microsoft Windows Server„2003, Windows®XP, Windows2000, WindowsNT®
Server4.0, WindowsMillennium Edition, Windows98, and Windows95。（注：主要是用户权限的问题，有些服务需要特定的权限）；

操作系统	IE 5.0和更高版本	ISA Server 2000的防火墙客户端	ISA Server 2004的防火墙客户端
Windows Server2003	All users	All users (DNS) Admin users only (DHCP)	All users
WindowsXP	All users	All users (DNS) Admin users only (DHCP)	All users
Windows2000	All users (DNS) Admin users only (DHCP)	All users (DNS) Admin users only (DHCP)	All users
WindowsNT 4.0	All users	All users (DNS only)	All users (DNS only)
WindowsMe	All users	All users	All users
Windows98 (Second Edition)	All users	All users	All users
Windows98	All users	All users	All users
Windows95	All users	All users (DNS static only)	No Firewall Client support

注意：

在ISA Server 2000中，DHCP有以下限制：运行在Windows 2000上的Web代理客户只能为administrators和power users组使用自动发现。在Windows XP中，Network Configuration Operators group同样可以发布DHCP请求信息。更多的信息，请参见微软知识库文章KB307502, "Automatically'>http://go.microsoft.com/fwlink/?LinkId=31659">Automatically Detect Settings Does Not Work if You Configure DHCP Option252" 。

配置WPAD项

你可以在DHCP、DNS或者两者薪PAD项，不过这两种方法都有优点和缺点：
•为了使用DNS，ISA Server必须在80端口发布自动发现信息（侦听自动发现请求）。使用DHCP，你可以指定任何端口。不过在ISA Server中，默认是使用端口8080侦听自动发现请求。
•如果客户跨越了多个域，你需要为每个允许客户自动发现的域配置DNS项。
•允许自动发现的客户必须能够直接查询DHCP服务器的第252项。远程访问和VPN客户不能直接访问DHCP服务器来查询252项。如果自动发现只是通过DHCP来配置，那么远程访问客户将不能使用这个特性。
•通常的，在LAN中通过DHCP服务器来使用自动检测是最好的；对于LAN和拨号连接，可以使用基于DNS服务器的自动检测。不过DHCP服务器提供更快的访问和更好的扩展性。如果你同时配置了DNS和DHCP，客户在查询自动发现信息时，会先查询DHCP服务器，然后再是DNS服务器。

DHCP

执行以下步骤以配置通过DHCP使用自动发现：
•确保你的DHCP服务器有效，然后为每个包含客户的子网建立了作用域。
•为DHCP服务器选项252添加一个WPAD项，252项作为一个注册和查询自动发现、Web代理、时间服务器和其他服务的指针。它是一个字符串值，指出WPAD服务器的URL。
•为适当的作用域配置252项，就算只有一个作用域。
•保证客户机配置为DHCP客户。

DHCP信息通过以下方式提供：
•在地址分配过程中或者获取需要的信息时，DHCP服务器为DHCP客户机提供WPAD信息。
•在防火墙客户计算机，当你点击现在检测，防火墙客户将查询DHCP客户的WPAD信息。

在DHCP服务器中建立252项

执行以下步骤：
1.打开管理工具里面的DHCP；
2.在DHCP控制台中，右击服务器名，然后点击设置预定义选项，然后点击添加；
3.在名字栏，输入WPAD；
4.在代码栏，输入 252；
5.在数据类型，选择字符串，然后点击确定；
6.在字符串，输入http://Computer_Name:Port/wpad.dat ；
•Computer_Name 是WPAD的FQDN名字，在此我们使用ISA Server计算机的名字；

•Port 是侦听自动发现请求的端口；默认情况下，ISA Server 侦听端口8080；

7.右击服务器选项，然后点击配置选项；
8.确认勾选了选项252；

注意：
•当你输入选项252字符串的时候，在输入wpad.dat的时候确认使用小写字母。例如，如果你输入了http://isaserver:8080/Wpad.dat，请求将失败。ISA Server使用wpad.dat，并且区分大小写。更多的信息，请参见KB252898, "HOW TO: Enable Proxy Autodiscovery in Windows2000

•你不需要建立其他形式来指定wspad.dat，wspad.dat使用和wpad.dat同样的252项，并且会将wpad.dat改名为wspad.dat。

在DHCP作用域中配置252项

执行以下步骤：
1.在管理工具中打开DHCP，然后右击作用域选项，然后点击配置选项；
2.点击高级，然后在销售商类中，点击标准选项；3.在可用选项中，勾选 252 Proxy Autodiscovery ，然后点击确定。

（注：这个我没有在Windows Server 2003的DHCP服务器中的DHCP作用域里面找到。）

DNS

为了让DNS服务器为客户提供WPAD项，你必须配置DNS项。可以通过以下方式来建立：
•为你的WPAD服务器配置主机记录（A记录），然后建立一个别名记录（CNAME）。如果WPAD服务器就是你的ISA Server，那么你必须为你的ISA Server建立主机记录。注意，在建立别名项以前，主机记录必须存在于客户所属的DNS区域中。
•另外，你也可以配置一个计算机名字为WPAD，然后为这台计算机添加一个主机记录，这样可以避免使用别名的情况。

在DNS服务器上设置好后，这个dns名字wpad.domain.com应该解析到WPAD服务器上。Web代理客户和防火墙客户不知道包含WPAD服务器的域，这依赖于操作系统的提供。操作系统必须提供正确的域名（域名后缀），附加在WPAD名字后以查询此WPAD服务器。默认域使用客户的主要域后缀，如果主要域后缀不能工作，那么将使用连接指定的DNS后缀。如果WPAD服务器还是没有找到，则使用上级域名，这样直到找到WPAD服务器或者已经使用了三级域名。例如，在a.b.microsoft.com域中，以下的名字将在WPAD寻找过程中使用：
•wpad.a.b.microsoft.com
•wpad.b.microsoft.com
•wpad.microsoft.com

如果在这三级域名中都没有找到WPAD服务器，那么自动发现失败。

域名后缀一般通过以下方式分配给客户：
•通过DHCP为客户分配主域名；
•手动配置客户计算机的IP属性，设置正确的域名后缀；

注意：你应该配置防火墙客户通过内部的DNS服务器来解析WPAD项；

在DNS中建立WPAD项

执行以下步骤：
1.打开管理工具中的DNS；
2.右击对应的前向查询区域，点击新建别名；
3.在别名，输入WPAD；
4.在目的主机的完全限定域名中，输入WPAD服务器的FQDN；

注意：

在建立别名之间，你需要为WPAD服务器已经建立好了主机记录。

配置WPAD服务器

这节阐述WPAD和WSPAD文件，一个标准的配置和辅助配置；

WPAD和WSPAD文件

Wpad.dat文件是个JScript文件，包含了默认的URL模板，由IE建立。ISA Server构建wspad.dat文件来保持通知了防火墙客户所有可用的ISA
Server计算机，以及其他的参数，如负载比例和状态标志来帮助服务器选择。Wspad.dat的CFILE包含了一个明确的TTL项。在TTL过时后，WinSock代理客户清除CFILE，然后尝试重新获得CFILE。CFILE的格式和防火墙客户端配置文件一样，在文件的Common一节，显示了如下的3项：
•[Common]
•Port=1745
•[Servers Ip Addresses]
•Name=ISAServer.microsoft.com

标准配置

在一个单ISA Server的计算机配置中，WPAD服务器将运行在ISA Server上侦听客户的请求。注意配置中的以下部分：
•如果ISA Server计算机不存在，客户不能向ISA Server计算机发送请求，或者请求WPAD或者WSPAD信息。结果就是你不能更新WPAD 或者WSPAD文件来执行一个备份的ISA Server计算机；
•为了更新WPAD server，你更新了DHCP或者DNS的WPAD项执行的服务器。但是，信息缓存在DNS和DHCP服务器中，从它们返回的WPAD项可能没有包含最新的ISA Server信息。
•使用ISA Server计算机作为WPAD服务器的优点是在ISA Server服务器配置修改后会自动更新wpad.dat和wspad.dat。
•在使用DHCP选项的标准的配置中，你应该保持URL为这种格式：http://ISA:port/wpad.dat。wpad.dat必须在根目录，并且你不能修改文件名。

发布自动发现信息

为了使用一个配置为WPAD服务器的ISA Server计算机侦听自动发现请求，你需要为ISA Server计算机启用自动发现，然后指定侦听WPAD和WSPAD请求的端口。默认，ISA Server使用端口8080。如果你使用DHCP方式来进行自动发现，那么你可以使用任何端口；如果你使用DNS方式来进行，则只能使用80端口。记住在DHCP的252项中指定你在ISA Server控制台中指定的端口。

启用和配置ISA Server 2004侦听自动发现请求

执行以下步骤：
1.在ISA Server管理控制台，点击防火墙策略；
2.在细节面板，选择对应的网络（通常是内部网络）；
3.在任务标签；点击编辑选择的网络；
4.在自动发现标签，勾选发布自动发现信息；

启用和配置ISA Server 2000侦听自动发现请求

执行以下步骤：
1.在ISA管理控制台，右击计算机名，然后点击属性；
2.在自动发现标签，勾选发布自动发现信息；
3.在使用此端口侦听自动发现请求，输入对应的端口；

辅助配置

在另外一种情况下，你可以将wpad.dat和wspad.dat放置在另外的计算机上。例如一台运行IIS的服务器上。在这种配置中，DNS和DHCP项执行这台运行IIS的服务器，并且这台服务器作为一个提供wpad和wspad的转向指示器。以下是需要注意的：
•使用这种方式，将会在运行IIS的服务器上保持wpad和wspad文件。当你修改wpad项的时候，可能会出现缓存延迟的问题。
•可以提供故障恢复能力。你可以配置多个运行IIS的Web服务器，然后在不同的Web服务器上放置不同的wpad和wspad文件。当前活动的Web服务器可以提供只包含当前活动的ISA
Server服务器的WPAD和WSPAD信息。
•如果你没有使用ISA Server计算机作为WPAD服务器，你不需要发布自动发现信息，应为ISA Server不需要侦听自动发现请求；
•不过，运行IIS服务器上的文件需要手动更新；

在运行IIS的服务器上，你必须建立名为wpad.dat和wspad.dat的文件，将自动配置的文件传送给防火墙和Web代理客户。最简单的获得方式是使用浏览器从ISA Server中下载，通过以下URL：

http://servername:port/wpad.dat
http://servername:port/wspad.dat

将Wpad.dat和Wspad.dat文件放置在以下地方：
•对于DHCP项，文件可以放在252项指向的任何地方，并不仅仅是Web服务器的根目录。wpad.dat文件的文件名你可以修改，不过你不能修改wspad.dat文件的名字。Web服务器可以通过任何端口来发布。
•对于DNS项，文件必须放置在Web服务器的根目录，并且此Web服务器只能通过端口80发布。
•在所有的情况中，wspad.dat文件必须放置在和wpad.dat文件同样的目录中。

引用

更多的信息，请点击以下微软知识库中的文章：

260210 Description of WinSock Proxy Auto Detect Support

296591 A Description of the Automatic Discovery Feature

284690 The "Automatically Detect ISA Server" Option in the Firewall Client Is Unavailable

295388 Access Violation Occurs in Your Firewall Client When It Is Under a High Load and Is Using WSPAD

, , ,

分享到：